Информационная безопасность как культура доверия: идентичность, открытость, ответственность

Вопрос информационной безопасности — это вопрос не только технологий, но и культуры. Университет по своей природе является открытой и сложной системой. Он существует благодаря обмену знаниями, идеями, данными, публичности научного результата. Но открытость не равна бесконтрольности. Она предполагает доверие — а доверие, как писал Никлас Луман, служит для уменьшения социальной сложности. В цифровой среде эта сложность возрастает кратно, и потому доверие должно быть подкреплено ответственностью. Граница ответственности университета проходит не только по линии «защищено — не защищено» и не сводится к работе технических служб. Она проходит в пространстве ролей и полномочий. Каждый сотрудник и каждый студент, действуя от имени университета, принимает осознанно или неосознанно решение о том, какие последствия может повлечь его действие.

В этом смысле информационная безопасность становится частью университетской культуры: культуры понимания другого, культуры проверки, культуры соразмерности полномочий и последствий. Она не противопоставлена научной открытости. Напротив, именно ответственная организация доступа, публикации и представления результатов позволяет открытости оставаться устойчивой, а не уязвимой. Поэтому речь идёт не о жёстком разграничении между «свободой» и «контролем», а о зрелом балансе — когда каждый понимает свою роль в общей системе доверия и осознаёт пределы своих полномочий.

«Этика ответственности руководствуется тем,
что человек отвечает за предвидимые последствия своих действий»
Макс Вебер

В этом выпуске блога ректор ТГУ Эдуард Галажинский предлагает взглянуть на информационную безопасность с непривычной стороны — как на культуру доверия в университете. Университет — открытая и сложная система: люди и команды, партнёрства, данные, научные и личные коммуникации. В такой среде многое держится не только на технологиях, но и на норме — на привычке проверять, уточнять и действовать в своей роли. Поэтому вопрос цифровой идентичности — кто и с какими полномочиями действует от имени университета — становится не менее важным, чем вопрос научной открытости: какие знания мы производим и публикуем, в каком режиме и с какой ответственностью.

— Эдуард Владимирович, если рассматривать информационную безопасность не только как совокупность технических решений, но и как элемент университетской культуры, где, на ваш взгляд, проходит граница ответственности университета? Особенно в условиях, когда открытость науки становится нормой и ценностью?

— Действительно, вопрос информационной безопасности — это вопрос не только технологий, но и культуры. Университет по своей природе является открытой и сложной системой. Он существует благодаря обмену знаниями, идеями, данными, публичности научного результата. Но открытость не равна бесконтрольности. Она предполагает доверие — а доверие, как писал Никлас Луман, служит для уменьшения социальной сложности. В цифровой среде эта сложность возрастает кратно, и потому доверие должно быть подкреплено ответственностью. Граница ответственности университета проходит не только по линии «защищено — не защищено» и не сводится к работе технических служб. Она проходит в пространстве ролей и полномочий. Каждый сотрудник и каждый студент, действуя от имени университета, принимает осознанно или неосознанно решение о том, какие последствия может повлечь его действие.

В этом смысле информационная безопасность становится частью университетской культуры: культуры понимания другого, культуры проверки, культуры соразмерности полномочий и последствий. Она не противопоставлена научной открытости. Напротив, именно ответственная организация доступа, публикации и представления результатов позволяет открытости оставаться устойчивой, а не уязвимой. Поэтому речь идёт не о жёстком разграничении между «свободой» и «контролем», а о зрелом балансе — когда каждый понимает свою роль в общей системе доверия и осознаёт пределы своих полномочий.

В последние годы в международной повестке всё чаще звучит тема «исследовательской безопасности». Смысл здесь не в том, чтобы «закрыть науку на ключ», а скорее наоборот, научиться заранее видеть риски там, где исследования могут затрагивать чувствительные данные, критические технологии или уязвимые инфраструктуры — и управлять этими рисками аккуратно, без разрушения самой природы университета — открытости, сотрудничества и свободы исследования. Подходов к организации соответствующих условий для такого уровня безопасности становится в последние годы заметно больше. Университеты и государства по всему миру перестраивают политику и правила обмена научными данными именно потому, что изменились условия и цена ошибок стала выше. 

— Эдуард Владимирович, как вообще можно говорить об информационной безопасности через цифровую идентичность и научную открытость? На первый взгляд это разные темы и даже разные уровни разговора.

— Да, на первый взгляд может показаться, что речь идёт о двух самостоятельных темах. Но в действительности их объединяет один и тот же фундаментальный вопрос: вопрос доверия и ответственности. Цифровая идентичность — это, прежде всего, ответ на вопрос: кто действует и в каком качестве. В офлайн-среде значительную часть доверия создаёт контекст: личное присутствие, голос, профессиональная репутация, узнаваемость роли. В цифровом пространстве многие из этих сигналов исчезают или становятся менее очевидными. Их место занимает другое — формализованная роль, подтверждённые полномочия, фиксируемый след действий. Поэтому цифровую идентичность нельзя сводить к «логину и паролю». Речь идёт о более сложной архитектуре доверия: о том, как подтверждается принадлежность к роли, как соотносятся полномочия и ответственность, как выстраивается взаимодействие между людьми и цифровыми сервисами, каким образом университет управляет рисками, возникающими на каждом этапе этого взаимодействия. Именно поэтому в международной практике цифровая идентичность описывается как управляемая модель рисков — система, в которой верификация личности, подтверждение полномочий и баланс между удобством и безопасностью рассматриваются не разрозненно, а в единой логике.

Научная открытость отвечает на другой, но столь же принципиальный вопрос: как знание становится публичным и что происходит с ним после публикации. В современном мире публикация научного результата — это не финал, а начало нового жизненного цикла. Исследования включаются в базы данных и репозитории, связываются с другими результатами, интерпретируются, используются повторно, иногда в совершенно иных контекстах. В этой ситуации университет несёт ответственность не только за качество самого знания, но и за условия его обращения. Открытость не означает автоматического снятия всех ограничений. Она предполагает осмысленный выбор режима доступа, соразмерность публичности и возможных последствий. И этот выбор — всегда решение конкретных людей, действующих в определённых ролях.

Именно здесь цифровая идентичность и научная открытость сходятся: первая отвечает на вопрос «кто и с какими полномочиями действует», вторая — «какие знания и в каком режиме становятся достоянием публичного пространства». В обоих случаях речь идёт о зрелом управлении доверием, а не о противопоставлении свободы и контроля.

— И всё равно это звучит как очень «технический» разговор.

— Он может казаться техническим по форме, но, по сути, это управленческий разговор. Университет — одна из наиболее сложных организационных систем в цифровой среде. Здесь одновременно сосуществуют разные роли: абитуриент, студент, выпускник, преподаватель, исследователь, администратор, партнёр. У каждой из них — свои задачи, свои полномочия и своя зона ответственности. При этом статусы постоянно меняются: студент становится выпускником, сотрудник переходит в другое подразделение, исследовательский проект начинается и завершается, партнёр подключается на определённый срок. Такая динамика создаёт сложную ткань пересекающихся ролей. И задача университета — обеспечить, чтобы эта ткань оставалась целостной: чтобы полномочия соответствовали задачам, чтобы доступы были соразмерны ответственности, чтобы изменения статуса вовремя отражались в цифровых системах.

В сложных структурах серьёзные инциденты нередко начинаются с малого — с несоразмерного доступа, с сохранённой «по привычке» роли, с неподтверждённых полномочий. Речь идёт не о недоверии к людям, а о защите самих людей и их профессиональной репутации. В цифровой среде доверие должно быть оформлено институционально: подтверждено ролью, соразмерно задачам, своевременно обновлено. Это позволяет избежать ситуаций, когда человек оказывается ответственным за действия, совершённые от его имени. Поэтому права доступа должны определяться задачей, а не формальным статусом. А каждая роль должна так же оперативно подтверждаться, как и прекращаться, когда основания для неё исчезают.

— Тогда возникает следующий вопрос: меняется ли сама логика безопасности? Раньше казалось, что достаточно выстроить «периметр»: есть граница сети — значит, внутри всё защищено.

— Представление о «периметре» действительно долгое время было доминирующим. Организация мыслилась как пространство с чёткой границей: внутри — свои, вовне — внешний мир. Но университет уже давно существует в иной реальности. Современная академическая среда распределена: люди работают из разных точек, проекты реализуются совместно с внешними партнёрами, используются разнообразные цифровые сервисы. В этой ситуации границы становятся менее физическими и более функциональными. Поэтому логика безопасности постепенно смещается от охраны внешнего контура к управлению доступом внутри самой системы. Речь идёт о соразмерности: доступ предоставляется не по принципу принадлежности к организации, а в соответствии с задачей, ролью и текущим контекстом работы.

В международной практике такой подход нередко называют архитектурой «нулевого доверия». При этом важно правильно понимать смысл этого термина. Он не означает тотального недоверия. Речь идёт о том, что доверие перестаёт быть автоматическим и закреплённым «по месту»; оно становится процедурой — подтверждаемой и обновляемой по мере необходимости. Иначе говоря, безопасность перестаёт быть «стеной» и становится системой управляемых решений.

— Что это означает для обычного сотрудника — преподавателя, исследователя, администратора?

— Несколько базовых вещей. Во-первых, в цифровой среде мы действуем не только как частные лица, а как носители определённой роли. Это означает, что в рабочем контуре приоритет имеет не личное удобство, а соразмерность полномочий задаче. Права доступа, каналы коммуникации, объём информации — всё это должно соответствовать роли человека в конкретный момент времени. Такой подход не ограничивает доверие, а структурирует его.

Во-вторых, «быстрее» не всегда означает «эффективнее». Когда мы экономим несколько минут за счёт обхода установленных правил, мы часто переносим проблему в будущее. Так возникает то, что можно назвать риск-долгом — накоплением управленческих рисков и отложенных проблем, которые пока не проявлены, но уже существуют.

Риск-долг складывается из мелочей: избыточных доступов «на всякий случай», рабочих файлов, пересылаемых через непредназначенные для служебной информации каналы, сохранённых паролей, решений «сейчас сделаем, потом разберёмся». Пока всё функционирует штатно, кажется, что ничего серьёзного не происходит. Но в ситуации изменения статуса сотрудника, внутренней проверки, технического сбоя или спора о правах доступа именно эти мелочи становятся источником системных проблем.

В-третьих, существуют практики, которые выглядят незначительными, но дают непропорционально большой эффект: многофакторная аутентификация, регулярная актуализация прав доступа, аккуратное обращение с рабочими учётными записями, понятный алгоритм действий при любой необычной ситуации. Это не бюрократия ради бюрократии. Это способ сохранить устойчивость университетской среды и защитить доверие к ней. 

— А при чём здесь университетская открытость? Кажется, что идентичность связана с доступом к сети и сервисам, а открытость — с публикацией научных результатов.

— Связь здесь прямая. Современная университетская открытость невозможна без инфраструктуры доверия. Репозитории, платформы, доступ к данным и публикациям, совместные исследовательские проекты — всё это работает только при условии, что участники процесса ясно понимают, кто и в каком качестве действует. Чем выше уровень открытости, тем выше требования к точности цифровой идентичности. Важно не просто предоставить доступ, а понимать, кому он предоставлен, в каком режиме, на каких основаниях и какова зона ответственности этого доступа. Открытость без управляемости превращается в уязвимость.

В научной среде это особенно заметно в модели федеративной идентичности: когда цифровой профиль, подтверждённый университетом, позволяет сотруднику работать во внешних сервисах — библиотечных системах, исследовательских платформах, совместных инфраструктурах. Такой подход делает взаимодействие удобным и масштабируемым, но предполагает зрелое управление ролями и полномочиями. Внутри университета действует та же логика. Рабочая учётная запись — это не просто средство входа в систему. Это подтверждение роли, через которое человек получает доступ к образовательным и исследовательским ресурсам, электронным библиотекам, внутренним сервисам. И именно поэтому управление этой ролью — своевременное изменение статуса, корректность прав доступа — становится принципиальным.

Если говорить шире, вопрос открытости неизбежно приводит к вопросу о данных. В университете данные — это не только технический ресурс, но и основание для управленческих и научных решений. Они лежат в основе образовательных процессов, исследований, стратегических выводов. И почти всегда данные так или иначе связаны с человеком — напрямую или через последствия их использования. Поэтому вопрос «как мы обращаемся с данными» — это, по сути, вопрос ответственности: за корректность доступа, интерпретацию, условия публикации и возможные последствия открытости.

У читателей блога может возникнуть ощущение, что я местами повторяюсь, только разными словами. Но я делаю это осознанно, чтобы «заякорить» наиболее важные аспекты сегодняшней темы разговора.

— Что вы имеете в виду под ответственностью? Обычно безопасность данных понимается как отсутствие возможности их утечки.

— Утечки — лишь один из возможных рисков. Ответственность в работе с данными гораздо шире. В классическом понимании у данных есть три базовых свойства: доступность, целостность и конфиденциальность. Важно не абсолютизировать ни одно из них. Если мы думаем только о закрытости, мы рискуем нарушить доступность и затруднить собственную работу. Если ориентируемся исключительно на удобство, страдают контроль и качество. Поэтому речь идёт не о «максимальной защите», а о соразмерном режиме обращения с данными. В университетской среде данные различаются по своей природе: персональные, административные, исследовательские. У каждого типа — свой жизненный цикл, свои ограничения и свои риски. Доступ к данным должен определяться задачей и ролью, а не принципом «пусть будет на всякий случай». Ровно настолько, насколько необходимо для выполнения работы — не больше и не меньше. Эта мысль кажется очевидной, но именно на ней держится управляемость системы.

В исследовательских данных картина сложнее: здесь сочетаются требования открытости, воспроизводимости, партнёрства и правовых ограничений. Чтобы сохранить ясность, важно избегать избыточной сложности там, где её можно избежать. Если данные можно обезличить, разделить публичную и непубличную части, установить разные режимы доступа — это следует сделать. Открытость может быть многослойной: полностью открытая публикация, ограниченный доступ, предоставление по запросу. Принципиально важно, чтобы выбранный режим был осмысленным и объяснимым. Чтобы эти процессы не превращались в формальную бюрократию, у данных должен быть определён ответственный и понятный контекст: кто их собрал, для какой цели, на каких основаниях, где хранится исходная версия, кто имеет доступ и как фиксируются изменения. Тогда через год или несколько лет результат можно будет воспроизвести, обосновать и не потерять в множестве версий и случайных копий.

— А в чём здесь роль университета? Это же не только личная аккуратность сотрудников, но и институциональная ответственность.

— Роль университета в том, чтобы дать людям не просто «правила», а рабочие маршруты и поддержку: куда обращаться, как согласовывать сложные случаи, какой у нас порядок хранения и публикации, какие есть инструменты. И, важно, чтобы эти маршруты были короче и проще, это убирает соблазн сделать «как-нибудь».

— Что сегодня самое ценное и самое уязвимое в научной открытости с точки зрения информационной безопасности?

— Ценность прежняя, я о ней уже упомянул выше: проверяемость, воспроизводимость, скорость научного обмена. А уязвимость в том, что публикация в цифровую эпоху стала значительно «богаче» и сложнее с точки зрения своего «технического» обеспечения. 

Конечно, это повышает ценность материала: чем полнее «комплект», тем меньше доверия «на слово» и тем больше реальной проверяемости. Но одновременно растёт цена ошибки в публикации: один лишний файл, неочищенный фрагмент данных, открытый ключ доступа, случайно оставленный идентификатор участника исследования — и научная открытость превращается в утечку, юридический риск или репутационный ущерб. Поэтому чем сложнее и полнее становится публикация, тем важнее точные решения о том, что именно, в каком объёме, с какими ограничениями и в какой форме выходит в публичное поле.

По сути, граница между необходимостью публикации и обязанностью защитить данные проходит по линии зрелости решения исследователя. Научная открытость сегодня требует предварительной оценки: кого затрагивают данные, есть ли ограничения по договору, этике исследования, правам участников, интеллектуальной собственности, потенциальной чувствительности результатов. Особого внимания требует подготовка к публикации материалов о технологиях двойного назначения, да и вообще о любых прорывных технологиях: относятся ли они непосредственно к военной и технической сферам, или гуманитарной. Исследователь может неосознанно для себя выйти за границы оценки «содержание публикации не относится к сфере государственной тайны», что может закончиться для него драматично. Всё это — зона профессиональной ответственности учёного, и она начинается не в момент публикации, а раньше. А именно, на этапе замысла и проектирования исследования: какие данные мы собираем, на каких основаниях, как будем хранить, что сможем открыть, что потребует обезличивания или иной формы доступа, какие обязательства будут у команды перед участниками и партнёрами. Если эти решения принимаются заранее, публикация становится нормальным продолжением работы, а не авральной дилеммой на финише.

— То есть речь идёт о «гигиене публикаций».

— Именно. Снова повторюсь: есть ряд вопросов, которые нужно задать себе до того, как результат научной работы уходит во внешний контур университета. Что именно мы публикуем и можно ли разделить материал на части с разными режимами доступа без потери научного смысла? Есть ли в составе результатов персональные данные, коммерческая тайна, ограничения партнёров, обязательства гранта, условия согласий участников? Можно ли безопасно обезличить и описать данные так, чтобы они оставались полезными, но не вредили людям? Кто в университете должен помочь принять решение, если случай пограничный? В зрелой системе самые сложные вопросы, связанные с серьёзными потенциальными рисками, не оставляют человеку для личного решения. Поэтому у нас практически на всех факультетах функционируют экспертные комиссии, определяющие, относится ли та или иная подготовленная статья к сфере гостайны или нет. К сожалению, иногда эти комиссии работают формально, не вникая по-настоящему в содержание будущих публикаций, что рано или поздно может привести к ненужным инцидентам. Прошу обратить на это внимание и сделать соответствующие выводы.

— А разве это не то, что называется «цензурой»?

— Конечно, нет. Цензура — это запрет по внешнему признаку. «Гигиена публикаций» — это настройка режима ответственности. Открытость остаётся ценностью, но она должна быть оформлена так, чтобы не разрушать доверие к науке и к университету.

— Если исходить из того, что публикация сегодня — это не финальная точка, а начало «жизненного цикла» результата, что происходит дальше? Где живёт наука после того, как статья опубликована?

— После публикации научный результат начинает новую фазу существования. Он довольно быстро включается в цифровую среду: индексируется, связывается с другими работами, дополняется метаданными, становится частью различных аналитических и информационных систем. Статья, набор данных, программный код, препринт — всё это уже не просто текст или файл. Это элементы более широкой экосистемы, где результаты сопоставляются, группируются по темам и авторам, используются в обзорах, аналитике, управленческих решениях. В этом смысле наука существует не только как совокупность исследований, но и как «информация о самой науке»: сведения об авторах и их аффилиациях, о грантах и проектах, о тематических направлениях, цитировании и сотрудничестве. Именно из этих данных складывается полная картина научной деятельности в национальном и международном пространстве. Кстати сказать, в этой логике в России создан домен «Наука и инновации», где аккумулирована вся эта информация.

И вот здесь возникает принципиальная развилка. Можно воспринимать эту цифровую среду как неизбежный фон, в котором просто приходится работать. А можно понимать, что доступность и прозрачность исследовательской информации — стратегический вопрос для университета. От того, как устроена эта среда, зависит, кто и как будет представлен, какие направления окажутся более заметными, какие — менее различимыми, какие решения принимаются на основе прозрачной аналитики, а какие — на основе непрозрачных алгоритмов.

К сведению: в 2024 году была принята Барселонская декларация об открытой исследовательской информации. Её ключевая идея — обеспечить открытость и проверяемость тех данных, на основании которых оценивается научная деятельность и принимаются управленческие решения. Речь идёт уже не только об открытом доступе к текстам публикаций, но и об открытости самой исследовательской информации: метаданных, индикаторов, инфраструктур, через которые формируется представление о науке. Это важный институциональный сдвиг. Он переводит разговор из плоскости «что мы публикуем» в плоскость «как устроена среда, в которой наука становится видимой и оцениваемой». 

— На первый взгляд, всё это, скорее, вопросы доступности и инфраструктуры. А где здесь информационная безопасность?

— Она проявляется в двух принципиальных измерениях, которые раньше редко связывались с информационной безопасностью. Первое — это «безопасность видимости» науки, то есть безопасность тех данных о научных исследованиях, которые предоставляются вузами и НИИ в открытый доступ. Если исследовательская информация непрозрачна и непроверяема, университет оказывается зависимым от внешних интерпретаций: от того, как рассчитываются показатели, как формируются аналитические связи, как исправляются неточности. При этом ошибки неизбежны — от неточной аффилиации до искажения картины отдельных научных направлений. Открытость исследовательской информации в этом контексте становится не просто принципом, а механизмом самокоррекции: прозрачные данные легче проверить, уточнить и воспроизвести.

Второе измерение — безопасность доверия к научному корпусу. Современная научная коммуникация сталкивается с ростом практик недобросовестного публикационного поведения — от формальных нарушений процедур рецензирования до системных искажений публикационных данных. Это уже не только вопрос издательской политики. Для университетов это вопрос репутации, качества научной среды и корректности управленческих решений, которые опираются на публикационную аналитику.

Поэтому научную коммуникацию необходимо рассматривать как управляемую систему. Качество метаданных, корректная работа с идентификаторами, поддержка авторов, прозрачные процедуры исправлений, внимательная аналитика — всё это перестаёт быть вспомогательной функцией. Это становится частью устойчивости университета как института доверия. В этом смысле библиотеки, репозитории и экспертные структуры — не внешнее сопровождение науки, а её собственная инфраструктура, обеспечивающая точность, воспроизводимость и доверие.

— Эдуард Владимирович, мы поговорили про идентичность, данные, про платформенную среду науки. Но всё равно остаётся ощущение, что в центре проблемы находится человек. Как, собственно, всегда в любом, казалось бы, технологическом вопросе. Где здесь место гуманитарного знания? И почему создаётся ощущение, что без него разговор об информационной безопасности неполон?

— Потому что информационная безопасность начинается не с технологии, а с интерпретации. С того, как человек понимает ситуацию и принимает решение: доверять или уточнить, ускорить процесс или взять паузу, действовать по привычке или проверить основания. В цифровой среде уязвимость возникает не только на уровне технологий, но и на уровне интерпретации — через контекст, тональность, апелляцию к авторитету или ощущение срочности. Поэтому риск появляется там, где человек действует автоматически, не соотнося действие со своей ролью и ответственностью. Здесь гуманитарное знание оказывается принципиально важным. Оно формирует навык различать мотивы, чувствовать контекст, замечать несоответствия в языке и интонации, понимать последствия собственного решения. Никакая инструкция не заменит способности осмысленно отнестись к ситуации.

В Томском госуниверситете с этой проблемой в последние пару лет столкнулись десятки, если не сотни сотрудников, получивших сообщения, аудиосообщения и даже звонки «от ректора». Иногда на связи оказывались и другие, вполне узнаваемые по должности «официальные лица» университета. Парадокс в том, что это были самые убедительные коммуникации из возможных: правильная тональность, нужные слова, знакомая манера. Понятно, что это были дипфейки. Таким образом, «тестировались» не столько системы, сколько люди на их доверчивость, уважение к авторитету, привычку выполнять просьбы «сверху» без вопросов. Но именно здесь и должен срабатывать ключевой навык цифровой гигиены — пауза. Уточнение через официальный канал, проверка полномочий, отказ от действий «срочно и немедленно» без подтверждения.

В общем, практика показала, что устойчивость определяется не только настройками системы, но и культурой поведения. Когда в университете регулярно напоминают о правилах коммуникации, о том, что чувствительные вопросы не решаются в неофициальных каналах и не сопровождаются давлением срочности, это постепенно становится нормой. И, возможно, главный вывод здесь в том, что лучшая защита — это не новая функция интерфейса, а зрелое отношение к собственной роли. Если сообщение требует немедленного действия и апеллирует к авторитету, это не повод ускоряться, а повод остановиться и проверить.

— То есть вы считаете, что риск — не только технический, но и коммуникативный?

— Да. Университет не может существовать без доверия и коммуникаций: у нас постоянно происходят согласования, совместные проекты, обмен данными, научные обсуждения, публичные выступления. Любая система, построенная на коммуникации, уязвима к ошибкам смысла. Поэтому я бы сформулировал так: цифровая безопасность — это часть общей культуры ответственности. Она рядом с академической честностью, с этикой работы с людьми в исследованиях, с уважением к авторству, с нормами публичной речи. Если мы признаём, что университет отвечает за качество знания, то мы не можем не отвечать за качество коммуникации вокруг знания. В общем, как бы странно это ни звучало, информационная безопасность — это всегда в большой степени гуманитарная задача, связанная с тем, как устроена ответственность, как люди понимают свои роли, как они говорят друг с другом, как они умеют сомневаться и уточнять. Но здесь есть важный нюанс: безопасность не должна превращаться в паранойю. Университет не может закрыться и перестать общаться с многочисленными аудиториями, это бы противоречило его миссии. Наша задача — не прервать коммуникацию, а сделать её качественной. Не запрещать открытость, а придать ей форму. Не бояться ошибок, а создавать такие практики, где ошибка ловится рано и не становится катастрофой.

Чтобы цифровая среда не превращалась в ловушку, университет должен «воспитывать» в человеке — сотруднике, студенте — навык различения. Научить различать роль и личность, информацию и данные, мнение и факт, открытое и чувствительное, срочность и манипуляцию. Это и определяет сегодня устойчивость любой организации перед лицом кибер-опасности.

— Пожалуй, это хороший переход к практической части разговора: какие простые, понятные правила и маршруты действий должны быть у сотрудника «на каждый день», чтобы культура различения работала не на словах, а в реальности?

— Тут я бы начал с простого: сотруднику не нужно знать все угрозы. Ему нужно знать несколько устойчивых правил и один понятный маршрут действий, когда что-то пошло не так.

Первое правило — сделать паузу. Если запрос нестандартный, если он касается доступа, данных, денег, документов, установок или «срочных подтверждений», пауза помогает выставить первый барьер. В цифровой среде самая дорогая ошибка обычно делается на скорости.

Второе правило — не воспринимать необходимость проходить постоянную идентификацию и запросы на подтверждение как личное оскорбление. В университете много уважения и много доверия, и это правильно. Но цифровая безопасность устроена иначе: важно удостовериться, что данный конкретный запрос действительно исходит от того, кто имеет на него право.

Третье правило — минимально достаточное действие. Даже если просьба выглядит логичной, мы не расширяем доступ «на всякий случай», не отправляем лишнее, не делаем шаги, которые невозможно отменить. Действуем ровно в объёме задачи и только после верификации.

Четвёртое — менять пароль каждый месяц-два и обновлять антивирус, быть бдительными в отношении фишинговых ссылок.

Конечно, у каждого человека разная чувствительность к, скажем так, нестандартным запросам и разная степень ответственности. Чтобы понять, нужно ли реагировать на запрос, важно знать о простых «красных флажках». Например, должна насторожить ситуация, в которой появляется резкая срочность («нужно прямо сейчас, иначе…»), просьба обойти порядок («давайте без оформления», «просто сделайте исключение»), необычная конфиденциальность («никому не говорите»), неожиданная смена канала или контакта и любые вложения, ссылки или файлы, которые требуют «быстро открыть и сделать».

Как только появилось хоть малейшее подозрение, нужно обязательно обращаться к специалистам в подразделении или в другом отделе. Не нужно «самому расследовать», нужно сохранить спокойствие, не продолжать действие, зафиксировать, что произошло (время, что именно увидел, каким был запрос) и передать это в службу, которая отвечает за информационную безопасность. Но уж если ошибка уже произошла, хуже всего молчать из страха. В безопасности цена замалчивания почти всегда выше, чем цена честного сообщения. Мы работаем с рисками профессионально, а не ищем и не наказываем виноватых по горячим следам.

Культура информационной гигиены должна поддерживаться не только на уровне руководства вуза, но и на уровне руководителей подразделений. Если такой руководитель сам создаёт режим постоянной «срочности» и просит обходить порядок «потому что надо», он обнуляет любые регламенты безопасности. А если руководитель, наоборот, проговаривает, что проверка — это норма, пауза после запроса допустима, а сомнение — это демонстрация профессионализма и критического мышления, тогда безопасность перестаёт быть чужой обязанностью и становится частью нормальной работы.

Ещё одна вещь, которую руководители недооценивают: доступы и роли сотрудников должны регулярно пересматриваться. Не потому, что кто-то «может воспользоваться», а потому что университет живёт изменениями. Проекты заканчиваются, люди переходят, задачи меняются. Если роли не обновляются, организация начинает копить цифровой хаос, а хаос — плохая среда для доверия, к которому мы сегодня без конца возвращаемся.

— А есть ли отдельные правила именно для научной работы?

— Да, и прежде всего они связаны с вниманием к своей работе. Перед тем как публиковать данные, важно действительно остановиться и задать себе несколько вопросов: что можно открыть сразу, что требует обезличивания, что нужно согласовать, а что разумнее выложить позже или в режиме ограниченного доступа. Из этих решений и складывается ответственность — перед участниками исследования, перед партнёрами, перед коллегами. Мы отвечаем не только за сам результат, но и за последствия его публикации.

Есть и ещё одна вещь, о которой редко задумываются. Со временем даже автору бывает трудно вспомнить, что именно скрывается за тем или иным набором файлов: откуда взялись данные, какие применялись фильтры, какие допущения были сделаны. Поэтому фиксация происхождения данных и условий их обработки — это не формальность, а элемент научной культуры. Именно такие «мелочи» позволяют через год или несколько лет воспроизвести результат и спокойно объяснить его логику.

И ещё один принцип — пользоваться институциональными возможностями университета. Репозитории, консультации, экспертиза публикации, привычка размещать материалы в корректной форме и на подходящей площадке — всё это не избыточная бюрократия. Это способ сделать научный результат более устойчивым, понятным и защищённым от случайных искажений.

— А если сотрудник — рецензент? Там же тоже есть конфиденциальность и ответственность.

— Да, и здесь ответственность особенно высока. Как заместитель председателя ВАК скажу, что сегодня одно из самых уязвимых мест в научной коммуникации — это именно рецензирование с помощью ChatGPT. Мы видим, как ИИ входит в эту зону как повседневный удобный инструмент. К сожалению, многие рецензенты отдают ему слишком много своих полномочий. 

Важно провести чёткую границу: ИИ может быть инструментом оформления, но не инструментом решения. Можно использовать его, чтобы привести текст рецензии в порядок, структурировать замечания, снять языковые шероховатости, но профессиональное суждение о новизне, корректности аргументации и качестве метода нельзя отдавать языковой модели. И второй принцип: конфиденциальность рукописи важнее удобства. Любые инструменты должны соответствовать политике издателя или конференции, а также правилам обращения с материалами.

Вставляя рукопись или её фрагменты во внешний сервис, эксперт фактически передаёт материал третьей стороне. В ряде случаев это может противоречить условиям конфиденциальности, авторским правам или внутренним регламентам. Поэтому ключевой принцип остаётся прежним: удобство не должно перевешивать профессиональную ответственность. Рецензирование — это не только экспертная оценка, но и обязанность сохранить доверие к научной процедуре.

— Эдуард Владимирович, если подвести итог: как бы вы сформулировали главный посыл этого разговора?

— Что информационная безопасность — это не тема тревоги, а тема зрелости. Университет не может и не должен превращаться в закрытую систему: наша сила — в открытости, в обмене знаниями, в доверии. Но именно поэтому мы обязаны быть точными в том, как устроена эта открытость. Цифровая идентичность — это вопрос того, «кто действует» и «в какой роли». Научная открытость — про ответ на вопросы «что мы публикуем», «в каком режиме» и «какие последствия это может иметь». А граница ответственности проходит там, где мы перестаём надеяться на случай и начинаем опираться на культуру и дисциплину: правила, маршруты действий, привычку проверять и уважение к данным и людям.

Я бы хотел, чтобы в нашем университете закрепилась простая норма: безопасность — это не отдельная дисциплина для специалистов, а часть повседневной профессиональной грамотности. Как академическая честность, как ответственность за слово, как уважение к человеку. Мы можем быть «настолько открытыми, насколько возможно» и одновременно «настолько осторожными, насколько необходимо». Это не компромисс. Это и есть современный стандарт доверия.